Pánik helyett kockázatfelmérés és „változáskövetés”
Pénteken életbe lép az egységes adatvédelmi jogszabály, a GDPR. Köztudottan a hazai cégek nagy része nincs felkészülve ennek alkalmazására, a folyamatos ellenőrzésre, és így a súlyos bírságok elkerülésére. A KÜRT úgy tapasztalta, hogy még a legfelkészültebb nagyvállalatoknál is fel kell térképezni külső szemmel a kezelt személyes adatok körét, a kapcsolódó üzleti folyamatokat és az informatikai hátteret, kezdve az adatvédelmi kockázatok felmérésétől, azok folyamatos karbantartásáig.
Bár már most több milliárd forintot elköltöttek a cégek GDPR-ra, sokan mégsem foglalkoznak vele komolyságához és szankcióihoz mérten. Jelenleg a megfeleléshez három fő választási lehetőség áll rendelkezésre:
- az internetről könnyen beszerezhető félkész szabályzatgyűjtemények (ezek nélkülözik a konkrét szervezetre szabott intézkedéseket);
- a saját belső vagy külsős szakemberek által végrehajtott felkészülési projektek;
- és a már folyamatos megfelelést is támogató és arra koncentráló szoftverek, amelyekkel átláthatóbbá teszik az adatkezelést és jelentős időráfordítástól kímélik meg a szervezeteket.
Ez utóbbi megoldást javasolják a KÜRT információbiztonsági szakértői, akik, a megfeleléshez szükséges, nehezen megbecsülhető erőforrásigények, valamint átláthatatlan követelmények problémájára is – tervezhető és delegálható keretek közé foglalt – alternatívát nyújtanak. Mindez a GDPR megfelelés adminisztratív terheinek kezelésére, az adatvédelmi tevékenységek kézbentartására is alkalmas.
A két évtizede szinte változatlan adatvédelmi joghoz képest szigorúbb új rendeletnek való megfelelés speciális szakértelmet igényel. Az információbiztonság elismert szakemberei egy unikális megoldásban összegezték az IT-, a jog és üzleti folyamatokszerint rendszerezett követelmények teljes jegyzékét, kialakították az adatvédelmi tevékenységekre – adatkezelésre, személyes adatvagyonra, IT-rendszerekre és ezek kapcsolódására – vonatkozó nyilvántartásokat, de használatával elkészíthetők az adatvédelmi hatáselemzések és jelentések, továbbá az incidensek nyilvántartása is. Mindezt a KÜRT SeCube GDPR moduljába csoportosította.
Nem elég az egyszeri kockázatelemzés
Felhívták a figyelmet arra: folyamatos és mindenre kiterjedő figyelem kell. A piacon léteznek különféle GDPR-megfelelésre fejlesztett megoldások, ám azok elsősorban szakterületi (informatikai, jogi) szempontokra koncentrálnak. A SeCube (egy jellemzően információbiztonsági és úgynevezett compliance folyamatokat támogató rendszer) GDPR modulja komplexen kezeli mindezt. Utat mutat a GDPR-előírások megfelelésében, támogatja a szükséges feladatokat, így naprakészen tartja a helyes adatkezelést és akár azonnal újraértékelhetők a kockázatok.
A nagyvállalatoknál mindez azért fontos, mert igen nehéz különválasztani az IT-infrastruktúrát. A nagyvállalat humán oldalának is, és minden programnak, eszköznek támogatnia kell a megfelelést. Legyen az egy adatbázis, levelezés, nyilvántartás, vagy archiválás. Mindezek jellemzően adminisztratív feladatok, melyeket érdemes szoftverben vezetni (az adatvédelemben szerepet játszó kollégák be- és kilépése, IT-rendszerek fejlesztése, be- és kivezetése, kontrol- vagy adatbázis-környezet változás, adatkezelések fejlődése-változása). Nem elég az egyszeri kockázatelemzés, valamint a tevékenységlista utáni megfelelés, egyidejűleg szükségesek az újabb és újabb adatvédelmi hatáselemzések, a kockázatkezelések és a megfelelés-követés.
„Noha az Infotörvény a közeljövőben változik, ezzel várhatóan az érdekképviseletek véleménye beépül majd a hazai adatvédelmi szabályozásba, ugyanakkor a GDPR megfelelés elkerülhetetlen. A buktatók, nehézségek és a még megválaszolatlan kérdések mellett mindennek előnye is van: az adatvédelem egységes, nemzetközi keretek közékerülésével szemléletváltást hoz az adatok biztonságos és jól követhető kezelésében, elsősorban a gondos és tudatos, üzleti érdekeket szem előtt tartó, a piaci versenyt komolyan támogató vállalatok körében. Nekik ajánljuk szoftverünket, mely végig kíséri őket a megoldáshoz vezető úton és folyamatosan rajta tartja a szemét a megfelelésükön” – mondta Hámor Endre, az Adatvédelmi Kompetencia Központ vezetője. Hozzátette: minden vállalat belső rendszere más, ezért iparágat, tevékenységet, a vállalat összetételét és számos további szempontot is figyelembe kell venniük ahhoz, hogy kiderüljön, milyenek a cég igényei, kockázatai. A KÜRT GDPR know-how tehát nem egy általános sablonrendszer, ami mindenkinél futhat valahogy, hanem személyre szabottan működik.
A KÜRT mintegy 30 év tapasztalata alapján fejlesztett megoldásának, a különböző speciális moduloknak köszönhetően a SeCube többfunkciós, így integráltan kezelhető a GDPR-on túl más, például a jelenleg is érvényben lévő IBTV vagy az ISO27001 előírásainak való megfelelés is.